Veškerý software má chyby nebo nedostatky, které způsobují problémy. Sahají od banálních problémů, které žádným zásadním způsobem neovlivňují výkon softwaru, až po závažná bezpečnostní zranitelnost.
Chyby může být obtížné odhalit, a proto má mnoho technologických společností programy odměn za chyby. Ale co přesně jsou bug bounty programy? Jak fungují a jak pomáhají zlepšit zabezpečení produktu?
Jak fungují programy Bug Bounty
Společnosti spouštějí bug bounty programy za účelem motivace bílý klobouk hackeři hledat bezpečnostní díry a podobná zranitelnost v softwaru. Pro ty, kdo objeví chybu, je obvykle více než slušná peněžní odměna, bez ohledu na to, jak bezvýznamná se může průměrnému člověku zdát.
A nejsou to jen malé, rozvíjející se společnosti, které mají bug bounty programy. Ve skutečnosti je provozuje většina technologických gigantů, včetně Googlu, Microsoftu, Facebooku a Apple. Podrobnosti o těchto programech lze obvykle nalézt na oficiálních stránkách společnosti. Více často než ne, existuje několik úrovní nebo kategorií. Ale v zásadě platí, že čím významnější chyba, tím vyšší odměna.
Jakmile hacker s bílým kloboukem objeví chybu, odešle podrobnou zprávu o odhalení vysvětlující, co našel. Firemní inženýři poté příspěvek zkontrolují a prošetří, a pokud se výzkumníkova zjištění ukáží jako přesná a užitečná, jsou upozorněni a obdrží peněžní odměnu.
Tento systém funguje jak pro společnosti, tak pro nezávislé výzkumníky. Z pohledu jakékoli společnosti je lepší, když etický hacker objeví chybu, než aktér hrozby, který by s největší pravděpodobností pokračoval využít to, než bude opraveno, což může způsobit milionové škody. Na druhou stranu hackeři dělají pěkný kus změn, když se účastní programů odměn za chyby – někteří dokonce vydělávají příjmy na plný úvazek objevováním zranitelností softwaru.
Příklady programů Bug Bounty zlepšujících zabezpečení softwaru
Je dobré vědět, jak teoreticky fungují bug bounty programy, ale pojďme se podívat na několik reálných příkladů, kdy společnosti vyplácejí obrovské částky hackerům s bílým kloboukem.
Ve spolupráci s bug bounty platformou Immunefi, decentralizovanou blockchain mostovou platformou Wormhole spustila v únoru 2022 prémiový program nabízející 10 milionů dolarů každému, kdo objeví kritické zabezpečení Chyba. Brzy jeden hacker s bílým kloboukem pod pseudonymem satya0x objevil. Jak Immunefi vysvětlil v a Střední post, chyba mohla vést k uzamčení uživatelských prostředků, takže satya0x dostal 10 milionů dolarů za její zveřejnění.
Také v únoru 2022 burza kryptoměn Coinbase zaplatil odměnu 250 000 USD za chyby nezávislému výzkumníkovi za objevení velké chyby v obchodním rozhraní platformy.
Aurora Labs, společnost stojící za virtuálním strojem Aurora Ethereum (ETH), vyplatila v dubnu 2022 masivní odměnu 6 milionů dolarů. Peníze byly přiděleny etickému hackerovi známému jako pwning.eth poté, co objevil zranitelnost, která by umožnilo aktérům ohrožení těžit nekonečnou zásobu kryptoměny Ethereum v Auroře motor.
Kanadský gigant elektronického obchodu Shopify, mezitím překonal svůj vlastní rekord v roce 2021, kdy jeho odměny dosáhly výše 1 milionu dolarů. Ten rok společnost obdržela celkem 3000 hlášení o chybách od hackerů white hat z celého světa. V reakci na to Shopify zvýšilo svou maximální odměnu na 100 000 $.
Tato čísla se mohou zdát absurdně vysoká, ale ve skutečnosti nejsou ve srovnání s množstvím peněz a dat, které by jinak kyberzločinci mohli získat odhalením zranitelností. Wormhole pouze stanovil odměnu za chyby ve výši 10 milionů dolarů poté, co ztratil 320 milionů dolarů kvůli porušení. Aurora Labs odměnila hackera s bílým kloboukem, protože 6 milionů dolarů bledne ve srovnání se ztrátou 240 milionů dolarů v hodnotě ETH, zatímco Coinbase a Shopify pravděpodobně ušetřily desítky milionů kompenzací pilného výzkumníci.
5 nejlepších vysoce platících programů odměny za chyby
Protože společnosti ve skutečnosti ušetří spoustu peněz nastavením odměn za chyby, existuje řada možností, ze kterých si výzkumníci mohou vybrat. Pokud jste náhodou hacker s bílým kloboukem nebo byste se jím chtěli stát, zde je pět vysoce platících bug bounty programů, které je třeba zvážit.
Apple Security Bounty je jedním z nejpopulárnějších bug bounty programů na světě. Odměny se pohybují od 5 000 USD za odhalení zranitelností zamykací obrazovky až po 2 miliony USD za bezpečnostní díry, které by umožnily aktérovi hrozby obejít Ochrana režimu uzamčení. Jediné, co musíte udělat, abyste mohli odeslat hlášení o chybě (které musí být důkladné a podrobné), je přihlásit se pomocí svého Apple ID.
Další populární bug bounty program provozuje Microsoft, který nabízí širokou škálu odměn. Podobně jako Apple je program Microsoftu rozdělen do desítek různých kategorií. Pokud například objevíte zranitelnost v Microsoft. NET, můžete očekávat platbu až 15 000 $. Ale pokud nějakou objevíte v Microsoft Hyper-V, můžete získat odměnu až 250 000 $.
Samsung Rewards Program je zaměřen na mobilní produkty společnosti. Má poměrně přísné zásady, takže si je před odesláním chyby pozorně přečtěte. Upozorňujeme také, že inženýři společnosti berou v úvahu pouze chyby, které ovlivňují bezpečnost zařízení Samsung. Odměny se pohybují mezi 200 a 200 000 $.
V bounty programu Google Bug Hunters dosahují odměny až 30 000 $. Lovci chyb, jak jsou hackeři white hat často označováni, mohou hlásit chyby v Gmailu, YouTube, BlogSpotu a dalších službách Google. Tento program má velmi aktivní komunitu a vlastní online univerzitu, která může být skvělým zdrojem pro začínající výzkumníky.
Odměnový program Meta pokrývá Facebook, Instagram, WhatsApp, Messenger a spoustu dalších produktů. Chcete-li získat odměnu (minimum je 500 USD), musíte najít zranitelnosti, které představují bezpečnostní riziko nebo riziko pro soukromí a splňují jasně definované požadavky. Všechny platné zprávy obdrží odpověď. Pokud více lovců zaznamená stejný problém, odměnu dostane ten, kdo jako první odešle zprávu.
Bug Bounty programy: To nejlepší z Crowdsourced zabezpečení
Bug bounty programy představují to nejlepší z crowdsourcingového zabezpečení. A nejsou to jen technologické společnosti a výzkumníci v oblasti kybernetické bezpečnosti, kteří z nich mají prospěch – všichni, včetně spotřebitelů.
Pro někoho je lov brouků koníčkem a pro jiného plnohodnotnou kariérou. Pokud spadáte do té druhé kategorie nebo o ni aspirujete, existuje spousta online kurzů, které stojí za to se podívat.